A OpenAI enfrenta uma nova denúncia de violação de privacidade na Europa devido à tendência do seu chatbot de IA em alucinar informações falsas – e esse caso pode representar um desafio difícil de ignorar para os reguladores.
O grupo de defesa dos direitos de privacidade Noyb está apoiando um indivíduo na Noruega que ficou chocado ao descobrir que o ChatGPT apresentava informações inventadas, afirmando que ele havia sido condenado pelo assassinato de dois de seus filhos e pela tentativa de matar o terceiro.
Denúncias anteriores relacionadas à geração de dados pessoais incorretos pelo ChatGPT envolveram casos como a apresentação de uma data de nascimento equivocada ou detalhes biográficos imprecisos. Uma das preocupações é que a OpenAI não oferece um meio para que as pessoas corrijam as informações errôneas geradas pela IA sobre elas. Normalmente, a empresa opta por bloquear respostas a esse tipo de solicitação. Contudo, segundo o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, os cidadãos possuem uma série de direitos de acesso, inclusive o de retificação dos dados pessoais.
Outro aspecto fundamental dessa legislação é que os controladores de dados devem garantir que as informações pessoais transmitidas a respeito dos indivíduos sejam precisas – uma questão enfatizada pelo Noyb em sua denúncia mais recente contra o ChatGPT.
“O GDPR é claro. Os dados pessoais devem ser precisos”, afirmou Joakim Söderberg, advogado de proteção de dados no Noyb. “Se não forem, os usuários têm o direito de ter essas informações alteradas para refletir a verdade. Apenas exibir um pequeno aviso informando que o chatbot pode errar não é suficiente. Não se pode propagar informações falsas e, ao final, adicionar um aviso de que nem tudo pode ser verdade.”
Infrações confirmadas do GDPR podem resultar em multas de até 4% do faturamento anual global.
A fiscalização também pode forçar mudanças nos produtos de IA. Por exemplo, uma intervenção inicial sob o GDPR realizada pela autoridade de proteção de dados da Itália, que levou ao bloqueio temporário do ChatGPT no país na primavera de 2023, motivou a OpenAI a ajustar as informações divulgadas aos usuários. Posteriormente, essa autoridade aplicou uma multa de €15 milhões à empresa por processar dados de pessoas sem uma base legal adequada.
Desde então, é seguro afirmar que os órgãos de vigilância de privacidade pela Europa adotaram uma postura mais cautelosa em relação às ferramentas de IA generativa, buscando compreender a melhor forma de aplicar o GDPR a esses instrumentos tão comentados.
Há dois anos, a Comissão de Proteção de Dados da Irlanda – que lidera a aplicação do GDPR em outra denúncia anterior contra o ChatGPT apresentada pelo Noyb – alertou contra a proibição precipitada das ferramentas de IA generativa. Isso sugere que os reguladores deveriam dedicar tempo para entender como a legislação se aplica a essas tecnologias.
Vale ressaltar que uma denúncia de privacidade contra o ChatGPT, sob investigação pelo órgão polonês de proteção de dados desde setembro de 2023, ainda não resultou em uma decisão.
A nova denúncia apresentada pelo Noyb contra o ChatGPT parece ter o objetivo de alertar os reguladores de privacidade quanto aos perigos das alucinações produzidas por inteligências artificiais.
Embora a alegação difamatória de que Hjalmar Holmen seria um assassino de crianças seja totalmente infundada, o Noyb observa que a resposta do ChatGPT contém alguns elementos verídicos, como o fato de o indivíduo ter três filhos, os gêneros estarem corretos e o nome de sua cidade natal constar de forma precisa. Ainda assim, torna a situação ainda mais bizarra e perturbadora o fato de a IA ter fabricado inverdades macabras.
Um porta-voz do Noyb afirmou que não foi possível determinar o motivo pelo qual o chatbot produziu uma narrativa tão específica, porém falsa, acerca desse indivíduo. “Realizamos pesquisas para ter certeza de que não se tratava de uma confusão com outra pessoa”, disse o porta-voz, acrescentando que consultaram arquivos de jornais sem encontrar explicação para a invenção da história de assassinato de crianças.
Modelos de linguagem de grande escala, como o que está por trás do ChatGPT, funcionam essencialmente com base na predição da próxima palavra em enormes volumes de dados. Assim, pode-se especular que os conjuntos de dados usados para treinar a ferramenta continham muitas histórias de filicídio, o que pode ter influenciado as escolhas de palavras na resposta à consulta sobre o homem mencionado.
Seja qual for a explicação, é evidente que tais resultados são completamente inaceitáveis.
O argumento do Noyb também é de que essas informações são ilegais segundo as regras de proteção de dados da União Europeia. Embora a OpenAI exiba um pequeno aviso na parte inferior da tela – informando que “o ChatGPT pode cometer erros. Verifique informações importantes” –, isso não exime o desenvolvedor da responsabilidade prevista no GDPR de não produzir falsidades gritantes sobre as pessoas.
A OpenAI foi contatada para se manifestar sobre a denúncia.
Embora essa denúncia do GDPR se refira a um indivíduo específico, o Noyb destaca outros casos em que o ChatGPT fabricou informações que podem ter implicações legais negativas – como o caso de um importante prefeito australiano que afirmou ter sido implicado em um escândalo de suborno e corrupção ou o de um jornalista alemão falsamente acusado de abusar de crianças –, evidenciando que não se trata de um problema isolado da ferramenta.
Um ponto importante a notar é que, após uma atualização no modelo de IA subjacente que alimenta o ChatGPT, o Noyb informa que o chatbot deixou de produzir aquelas falsidades perigosas sobre Hjalmar Holmen. Segundo a organização, essa mudança está relacionada ao fato de que a ferramenta passou a buscar informações na internet quando questionada sobre a identidade de uma pessoa, ao contrário do que acontecia anteriormente, quando lacunas no conjunto de dados podiam levá-la a alucinar respostas absurdamente equivocadas.
Em testes realizados, ao perguntar “quem é Arve Hjalmar Holmen?”, o ChatGPT respondeu inicialmente de forma curiosa, exibindo fotos de diferentes pessoas – aparentemente originadas de sites como Instagram, SoundCloud e Discogs – acompanhadas de um texto afirmando que não encontrou nenhuma informação sobre alguém com esse nome. Em uma segunda tentativa, o chatbot identificou Arve Hjalmar Holmen como “um músico e compositor norueguês”, cujos álbuns incluem “Honky Tonk Inferno”.
Embora as falsidades produzidas pelo ChatGPT a respeito de Hjalmar Holmen pareçam ter sido interrompidas, tanto o Noyb quanto o próprio Hjalmar Holmen permanecem preocupados com a possível retenção de informações incorretas e difamatórias no modelo de IA.
“Adicionar um aviso de que você não está em conformidade com a lei não faz com que a lei desapareça”, ressaltou Kleanthi Sardeli, advogada de proteção de dados no Noyb. “As empresas de IA não podem simplesmente esconder informações falsas dos usuários enquanto internamente continuam a processá-las. Elas devem parar de agir como se o GDPR não se aplicasse a elas, quando, na verdade, ele é plenamente aplicável. Se as alucinações não forem interrompidas, as pessoas podem sofrer danos irreparáveis à sua reputação.”
O Noyb apresentou a denúncia contra a OpenAI à autoridade norueguesa de proteção de dados e espera que o órgão decida que possui competência para investigar o caso, já que a denúncia é direcionada à entidade norte-americana da OpenAI, argumentando que o escritório irlandês da empresa não é o único responsável pelas decisões de produto que impactam os europeus.
No entanto, uma denúncia anterior baseada no GDPR, apresentada pelo Noyb contra a OpenAI na Áustria em abril de 2024, foi encaminhada pelo regulador para a Comissão de Proteção de Dados da Irlanda, devido a uma mudança realizada pela OpenAI no início daquele ano, que designou sua divisão irlandesa como a fornecedora do serviço ChatGPT para os usuários na região.
Onde está essa denúncia agora? Ainda está aguardando análise na Irlanda.
“Após o recebimento da denúncia pela Autoridade Supervisor da Áustria, em setembro de 2024, a Comissão de Proteção de Dados iniciou o tratamento formal do caso, que ainda está em andamento”, declarou Risteard Byrne, responsável pela comunicação da Comissão, quando solicitado uma atualização. Ele não indicou quando a investigação sobre as alucinações do ChatGPT deverá ser concluída.
